Aktualności

Nie tylko SIP: ataki na VoIP z użyciem H.323

Data publikacji: 08/12/2010, TomaszG.

W ostatnim wpisie na naszym blogu pisaliśmy o atakach na telefonię IP. Skupiliśmy się na protokole SIP. VoIP jednakże to nie tylko wyżej wspomniany protokół. Innym, starszym niż SIP ale pomimo tego dalej popularnym standardem jest H.323. Niedawno skanowania, które miały na celu poszukiwanie urządzeń potrafiących obsługiwać połączenia w tejże technologii, zostały zarejestrowane przez system wczesnego ostrzegania przed zagrożeniami w sieci ARAKIS. Dzisiaj podamy trochę informacji o tych obserwacjach.

Przepływy widziane były na porcie 1720/TCP, który jest standardowym portem do tego typu połączeń. Zmasowane połączenia rozpoczęły się nad ranem 23. listopada i trwały „jedynie” 8 godzin. Były widziane na niewielu sondach, dodatkowo incydent ten nie powtórzył się. Najprawdopodobniej więc skanowany był zakres polskiej przestrzeni Internetu „wyrywkowo”, a nie kompleksowo. Mimo to wytworzyły się dwa klastry opisujące ten incydent.

Czytaj więcej

Uwaga na ataki na telefonię IP (VoIP)

Data publikacji: 29/11/2010, TomaszG.

Telefonia VoIP (Voice over IP) cieszy się coraz większą popularnością dlatego jest coraz powszechniej wykorzystywana. Niestety, wzrostowi popularności ze strony użytkowników towarzyszy wzrost popularności ze strony cyberprzestępców. Źle zabezpieczone centralki mogą być m.in. źródłem poważnych strat finansowych, ponieważ przestępcy mogą wykorzystywać je do wykonywania połączeń telefonicznych w dowolne miejsce na świecie. Tego typu ataki opisywaliśmy już w roku 2008 (Phreaking w erze telefonii VoIP). Innym zagrożeniem jest dzwonienie do końcowego numeru z niezamówionymi ofertami handlowymi (tzw. SPIT: Spam over Internet Telephony)1. Najprostszą formą ataku jest atak odmowy usługi (DoS), który może sparaliżować sieć telefoniczną np. w całej firmie2. Ostatnio informowaliśmy poprzez serwis Twitter o znaczącym wzroście skanowań poszukujących urządzeń VoIP wykorzystujących protokół SIP.

Dane zbierane przez rozproszoną sieć sond systemu ARAKIS potwierdzają, że problem ataków na telefonię IP w polskiej przestrzeni Internetu jest bardzo realny i ciągle się pogłębia. Poniżej postaramy się nieco przybliżyć obserwacje prób ataków, których świadkiem był system ARAKIS.

Czytaj więcej

Wykorzystanie luki w ProFTPd

Data publikacji: 18/11/2010, CERT Polska


ARAKIS

Niedawno (5 listopada) pisaliśmy o błędzie przepełnienia bufora w aplikacji ProFTPd. System ARAKIS zarejestrował próby włamania z wykorzystaniem exploitów na tę lukę. Jako źródło ataku określiliśmy sieć znajdującą się na terenie Stanów Zjednoczonych, a zastosowany do ataku exploit to prawdopodobnie skrypt Perl opublikowany na liście full-disclosure kilka dni po ujawnieniu luki. W najbliższym czasie należy się spodziewać zwiększonej częstotliwości skanowań usług FTP oraz ślepych prób ich wykorzystania.

Exploit

Stack Overflow w proftpd!

Data publikacji: 05/11/2010, CERT Polska

proftpd

W popularnym serwerze FTP znaleziono klasyczny błąd pozwalający nadpisać dane znajdujące się na stosie. Dokładny opis błędu można znaleźć na bugzilli proftpd :
http://bugs.proftpd.org/show_bug.cgi?id=3521. Błąd zgłoszony przez TippingPoint związany jest z czytaniem sekwencji znaków zaczynających się od TELNET_IAC (opis sekwencji w RFC854). Możliwe jest przeprowadzenie zdalnego ataku na serwer FTP. Podatne są wersje 1.3.2 oraz 1.3.3.

Czytaj więcej

Zabić Bredolaba

Data publikacji: 05/11/2010, CERT Polska

Bredolab takedownBotnet Bredolab według niektórych oszacowań składał się z ponad 30 mln zainfekowanych maszyn. W trakcie śledztwa prowadzonego w minionych tygodniach zidentyfikowano 143 serwery związane z botnetem. Jednostka Dutch National High Tech Crime Team, holenderskie służby zajmujące się przestępstwami komputerowymi, 25 października podjęły działania mające na celu zniszczenie botnetu. W akcji brały udział też między innymi GovCERT.NL i firma Fox-IT. Rozpoczęto odłączanie kolejnych serwerów Command-and-Control od sieci Internet. Narodowa policja w Holandii w trakcie śledztwa starała się namierzyć podejrzanych o kierowanie botnetem. Głównego podejrzanego, 27-letniego Ormianina, namierzono w Rosji. Aresztowano go na lotnisku Zvartnots w Erywaniu w Armenii.

Czytaj więcej

SECURE 2010 za nami!

Data publikacji: 29/10/2010, przemek

Secure 2010Ten tydzień w CERT Polska to przede wszystkim XIV edycja organizowanej przez NASK konferencji SECURE. Przygotowując ją postawiliśmy na wiele zmian, więc nie obyło się bez obaw, czy wszystko pójdzie tak, jak sobie to wyobrażaliśmy. Na szczęście na podstawie pierwszych opinii, które do nas dotarły, wydaje się, że wyszło całkiem dobrze.

Dla blisko sześćdziesięciu uczestników konferencja rozpoczęła się w poniedziałek całodziennymi warsztatami. Do wyboru zaproponowaliśmy zajęcia prowadzone przez Tomka Grudzieckiego i Pawła Jacewicza z CERT Polska o zagadkowej nazwie „Duchy w przeglądarkach” oraz szkolenie z tworzenia reguł snorta oraz zastosowań tego oprogramowania, prowadzone przez Piotra Linke z Sourcefire. Miejsca na oba warsztaty zapełniły się długo przed konferencją. Uczestnicy byli zadowoleni, więc uznajemy, że ta nowość była krokiem w dobrym kierunku i zapewne skorzystamy z tej nauki w przyszłości.

Czytaj więcej

CERT Polska w Dubaju

Data publikacji: 13/10/2010, CERT Polska

CERT Polska in DubaiNa przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

HuaweiSymantecSpider – co to za pająk i dlaczego szuka phpMyAdmin?

Data publikacji: 13/10/2010, TomaszG.

Trzy dni temu pojawiły się w systemie ARAKIS połączenia HTTP nawiązane przez – jeżeli wierzyć polu „User-Agent” – pająka webowego HuaweiSymantec. Poprzez żądania GET próbowano pobrać z naszych honeypotów pliki konfiguracyjne (setup.php) znanego narzędzia do zarządzania bazami danych MySQL – phpMyAdmin. Na pierwszy rzut oka wyglądało to jak połączenia generowane przez typowy skaner luk próbujący na ślepo znaleźć podatne lub źle skonfigurowane narzędzie na sprawdzanym serwerze:

HuaweiSymantecSpider-phpMyAdmin

Czytaj więcej

Krytyczna luka 0-day w programie Adobe Reader

Data publikacji: 09/09/2010, przemek

Firma Adobe opublikowała informację, w której przyznaje o istnieniu niezałatanej luki (CVE-2010-2883) w programach Adobe Reader 9.3.4 i wcześniejszych na platformy Windows, Macintosh oraz UNIX, a także Adobe Acrobat 9.3.4 na Windows i Macintosh. Luka pozwala na wywołanie awarii programu i wykonanie dowolnego kodu w systemie, co w konsekwencji może doprowadzić do przejęcia nad nim kontroli przez atakującego. Z dużą dozą prawdopodobieństwa dostępny jest już kod wykorzystujący tę podatność do rzeczywistych ataków.

Bieżące informacje o luce, publikowanych aktualizacjach oraz aktualne zalecenia można śledzić na stronie Adobe PSIRT: http://blogs.adobe.com/psirt/

Przypominamy, że istnieją bezpłatne alternatywne programy do odczytu plików PDF, np. Foxit Reader.

...10...1819202122...